[Generic/Webbrowser] Cross-Site Scripting über Nicht-HTTP-Dienste
(2002-03-14 07:43:55+00)
Quelle:
http://cert.uni-stuttgart.de/archive/vuln-dev/2002/02/msg00190.html
Über Serverdienste, die nicht HTTP implementieren, können Cross-Site-Scripting-Angriffe durchgeführten werden, mit denen sich beispielsweise Cookies auslesen lassen.
Betroffene Systeme
Systeme, die folgende Web-Browser verwenden:
- Microsoft Internet Explorer
- Opera
Einfallstor
böswillige Webseiten, ausgehende Nicht-HTTP-Verbindungen
(beispielsweise über POP3, TCP-Port 110).
Auswirkung
Ein Angreifer kann Cookies auslesen und somit an Daten gelangen,
die zur Authentifizerung verwendet werden.
Typ der Verwundbarkeit
cross-site scripting
Gefahrenpotential
mittel
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Beschreibung
Cross-Site Scripting ermöglicht es einem Angreifer,
aktive Inhalte im Kontext fremder Webseiten auszuführen,
um so beispielsweise an Authentifierungsinformationen zu gelangen,
die in Cookies gespeichert sind. Bei dieser Variante werden
die aktive Inhalte auf dem Client-Rechner zur Ausführung gebracht,
in dem der Angreifer das Opfer verleitet, über ein Formular Daten
an einen fremden Rechner zu schicken, der unter der passenden
Domain läuft. Dabei wird ein TCP-Port verwendet, unter dem
beim Zielsystem kein HTTP-basierter Dienst läuft, sondern ein solcher,
der im wesentlichen die empfangenen Daten zurückschickt. Dabei
werden von den verwundbaren Browser eventuell zurückgeschickte
Daten im Kontext der fremden Domain ausgeführt, wodurch auf die
mit dieser Domain verbunden Daten (z.B. Cookies) zugegriffen werden
kann. Dies kann ueber den Echo-Dienst (TCP-Port 7), aber auch beispielsweise ueber FTP, POP3, ... erfolgen.
Gegenmaßnahmen
Derzeit liegt noch keine Reaktion der Hersteller vor.
Workaround
Systemadministratoren können den Zugriff für Clients auf
unübliche TCP-Ports durch geeignete Paketfilter und Einstellungen
eines Proxies verhindern.
Umgekehrt können Serverbetreiber entsprechende
Nicht-HTTP-Dienste gar nicht erst anbieten.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2019 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=700